망분리 와 망연계 재앙일 수 있다

망분리 와 망연계 재앙일 수 있다?

수년전부터 화두로 떠오른 망분리, 이미 최소 제1금융권은 구축이 100% 완료된 상태다. 외에도 공공기관도 거의 구축이 완료된 상태이며 일반 기업도 상당한 관심을 가지고 있는 보안 솔루션이다. 이런 망분리 환경에서 인터넷망과 업무망간의 망연계가 반드시 필요하다. 왜냐하면 이 구간에 공격이 집중돼 심각한 보안홀이 될 수 있기 때문이다. 망연계 구간을 안전하게 보호하기 위해서는 백신, APT 방어 솔루션과 DRM, DLP 등의 기술이 필요하다. 스마트워크 환경에서도 동일한 문제가 발생하며, 보다 안전하게 스마트워크를 운영할 수 있도록 VPN, EMM/MDM, NAC 등이 필수적으로 요구된다.

망분리는 지능화된 보안위협으로부터 내부 IT시스템과 데이터를 안전하게 보호하기 위한 시스템이지만, 망분리만으로 모든 보안 요구사항을 만족했다고 생각해서는 안된다. 한수원 해킹사고의 경우처럼, 망분리 맹신은 대규모 사이버 테러에 이용될수 있음을 명심해야 한다.

망분리 보안을 약하게 만드는 주요인은 망간 자료전송 즉 망연계에 있다. 망분리는 원칙적으로 업무망과 인터넷망을 분리해 어떤 데이터도 망 사이에서는 유통되지 않도록 해야 한다. 그러나 모든 것이 네트워크에 연결돼 있는 현대사회에서 인터넷 연결 없이 업무를 진행하는 것은 불가능하다. 외부 조직과의 협업을 진행할 때에도 인터넷을 통해 의사소통이 이뤄져야 한다 .그래서 망간 자료전송 시스템이 반드시 필요하다. 또한 업무망의 보안패치 업데이트를 위해 인터넷에 연결할 때에도 보안위협에 노출될 수 있다. 업무망은 안전하다는 생각 때문에 보안시스템 구축을 소홀히 하는 경향이 있기 때문에 단순하 ㄴ악성코드로도 감염되기 쉽다. 내부 시스템이 감염되면 급속도로 내부 시스템으로 확대될 수 있어 매우 위험하다.

초기망연계솔루션은 이메일을 통한 자료전송과 망 연계구간에 스토리지를 두고, 전송되는 파일을 스토리지에 저장하면 수신자가 접속해 받아가는 방식을 택했으나 차츰, 스트리밍 방식, 소켓통신 방식 등이 등장하면서 보다 안정적인 망연계 시스템으로 자리잡고 있다. 그러나 망연계 시스템에 대해 불필요한 시스템이라는 지족도 나온다. 이미 망분리 솔루션에 파일전송 기능이 있기 때문에 별도의 자료전송 시스템이 필요 없다는 주장이다.

망연계 실효성이 있는가

망연계 무용론에 대한 주장이 설득력이 있기는 하지만 많은 업무가 인터넷망과 업무망을 오갈 수 밖에 없기 때문에 망연계 시스템의 보안 강화하는 것이 바람직하다. 망연계 솔루션 자체에 보안기능을 탑재해 망연계 보안을 강화하면, 망연계 구간에서 파일 전송 내역이 기록으로 남기 때문에 이력추적이 가능해 리스크를 낮출 수 있다. 망연계 구간의 모니터링을 통해 보안 정책 위반 여부를 탐지할 수 있으며, 사고가 발생했을 때 사고조사와 감사자료로 활용 할 수 있고, 사용자, 부서, 조직별로 파일전송 유형을 분석할 수 있어 망분리 환경을 개선하는 데 참고할 수 있다.

망연계 솔루션은 휴네시온의 아이원넷, 에스큐브아이의 코어브리자, 에스큐아이소프트의 에스에스브리지, 한싹 시스템 HRX-AOSP, 소프트위드솔루션 크로스넷, 시큐에버 리버스월, 엘케이컴즈 아이커넥트 등이 있다.

퓨쳐시스템이 출시한 위가다아 티무버는 후발주자 이지만 공공, 금융기관을 중심으로 공급을 이어나가고 있다. 전용 IPS 패턴과 비트디펜더의 안티바이러스 패턴을 탑재해 인터넷을 통해 유입되는 악성코드를 탐지, 차단하고 안전한 망분리 환경을 운영할 수 있게 한다. 스토리지방식을 이용해 안전한 데이터 자동 전송을 제공하며, 웹브라우저, 에이전트 기반 자료전송 자동화 시스템으로 자료전송 통제와 감사가 가능하다.

퓨쳐시스템의 방화벽 솔루션과 연동해 비정상 트래픽을 차단할 수 있으며, 높은 수준의 보안 기능을 제공한다. 또한 다양한 망분리 환경을 지원하고, 인사정보와 연동이 가능하다는 점 등 관리적 편의성도 제공하고 있다. 휴네시온의 아이원넷은 TCP/IP 가 아니라 자체 구현한 전용 프로토콜 HSPROTO를 사용해 통신 보안을 강화하고, 국정원 검증필 암호화 모듈을 적용해 전송데이터를 안전하게 보호한다. 전송되는 파일의 악성코드 포함 및 무결성 여부를 검사해 파일 전송 환경의 보안성을 확보하고, 웹인터페이스 방식과 사용자 PC에 소프트웨어 형태로 설치되어 자료 전송을 수행하는 전용 프로그램 자료 전송 방식을 동시에 제공한다. 아이원넷 V3.0은 프로토콜, IP, Port, 특정 확장자, 개인정보 포함 여부 등 데이터 전송이 가진 다양한 조건들에 대해 기업 관리자가 설정한 정책을 기반으로 모든 전송을 제어하며 승인/결재 프로세스를 통해 내부 정보 유출을 통제한다.

망연계 만으로는 안심 불가

망분리는 망연계가 이뤄지는 순간 보안위협에 노출된다. 지능형 공격자들은 망연계구간에 대한 치밀한 공격을 진행할 것이며, 이를 철저하게 차단하기 위한 보안 시스템이 반드시 마련돼야 한다. 다우기술은 이메일을 이용한 망연계 보안을 제공한다. 다우기술의 테라스메일 은 망분리 환경에서 이메일을 안전하게 전달하며, 외부에서 유입된 메일의 첨부파일은 이미지로 보여줘 사용자가 직접 파일을 열어보지 않고 내용을 확인해 정상메일인지 알아볼 수 있도록 한다. 또한 망연계 보안을 위한 테라스메일 브릿지, 스팸메일 탐지 테라스메일 왓처, 메일의 악성 춤부파일을 검사하는 테라스메일 왓처 APT, 에디션 등을 통해 망분리와 망녀계 구간을 보호한다. 테라스메일 브릿지는 망분리 상황에서 외부망 메일과 첨부파일을 스트리밍으로 중계영역으로 불러들인 후 내용을 이미지화해 악성스크립트가 실행되지 않고 사용자가 메일 내용을 볼 수 있도록 한다.

망간 자료전송을 할 때 반드시 관리자의 승인을 받아야 하지만 실제로 결재시스템을 활성화시킨 사례는 거의 없다. 그래서 멉무망과 인터넷망에도 별도로 보안 시스템이 필요한데, 엔드포인트보안, 중요정보/개인정보 유출 방지, 문서 암호화, 문서 악성코드 탐지 시스템 등이 제안된다. 파수닷컴은 DRM 기술을 활용해 망연계 시스템으로 유통되는 문서를 암호화하고, 개인정보/중요정보를 검출하는 시스템을 공급한다. 스마트워크 근무자를 위한 파수 시큐어 리모트 워크플레이스(Fasoo Secure Remote Workplace)  는 내부 데이터에  DRM을 적용하며, 원격업무 연결할 때에만 DRM을 구동해 보안과 업무 효율성을 동시에 만족시킨다. 마크애니 역시 망연계 구간에 DRM을 적용한 다ㅔ이터 보안 전략을 소개한다. 엑스크로스 스페이스 세이퍼는 중요 정보의 보안을 위한 업무망과 인터넷 망 분리 환경에서 업무의 편의성을 위한 망 연계 지원 시, 문서보안 및 안전한 자료 교환을 지원한다. 망연계 구간에 악성코드가 숨어들어오지 않도록 하는 기술도 필수적으로 요구된다. 소프트캠프는 외부에서 유입된 문서에서 악성스크립트를 걸러내는 실덱스 를 망분리 보안을 위해 제안한다. 실덱스는 외부에서 유입되는 문서의 속성을 살펴보고 위험이 의심되는 문서는 안전한 이미지와 텍스트만 걸러내 깨끗한 문서에 재조립하는 방식으로 불러온다. 이 솔루션은 악성코드와 악성스크립트를 직접 탐지하는 것이 아니고 문서를 재조립해 안전한 문서만 내부망에서 읽을수 있도록 하는 것으로, 일반 APT 솔루션이 처리하는 시간보다 절반 혹은 1/3의 시간만에 처리할 수 있다. 이 제품은 어느 사용자가 몇 건의 파일을 반입했는지, 차단행위가 나오는지 등에 대한 분석보고서를 제공하며, 문서보안과 연계해 방역 작업 후 암호화를 수행할 수 있다.

SGA는 안티바이러스, 패치관리, 자료저장방지, 문리적 망분리 솔루션 등을 통해 망분리와 망분리 보안을 강화할 수 있다고 강조한다. 문리적 망분리는 보안을 강화할 수 있다고 강조한다. 물리적 망분리는 인프론티브 미니PC에 SGA가 유통하는 MS 윈도우 임베디드를 탑재해 공급하는 방식으로 제공한다. 망분리 가상화 환경에서 화면캡처를 막는 방법으로 보안을 강화하는 솔루션도 있다. 테르텐의 티큐브는 VDI환경에서 화면으로 표현되는 다양한 형태의 정보와 콘텐츠의 불법적인 유출 및 도용을 방지하는 가상화 화면보안 솔루션이다. 이 제품은 1000여개에 이르는 화면캡처 툴을 원천적으로 막으며, 불법적인 원격 프로그램을 제어하고 사용자의 임의조작을 방지한다.

보안은 공동의 책임이다

망분리 환경을 보다 편리하게 사용할 수 있는 기술도 등장해 주목된다. 망분리는 순수 PC 기반 업무에 비해 생산성이 떨어질 수밖에 없다. 물리적 망분리는 업무PC 와 인터넷PC를 각각 사용해야 하며, 논리적 망분리는 업무망-인터넷망 전환시 잠깐의 시간이 소요된다. 물리적 망분리에서 두대의 PC를 사용하면서 발생하는 불편함은 KVM이 내장된 망분리 전용 PC를 사용하는 것으로 어느정도 해소될 수 있다. 하나의 키보드와 마우스로 업무PC와 인터넷PC를  사용하기 때문에 한대의 PC를 사용하는 것과 같은 효과를 누릴 수 있다. VDI환경에서 인터넷 PC로 전환할 때, 업무망 브라우저에 외부망 URL 주소를 입력하면 자동으로 인터넷망으로 전환대 외부 웹사이트에 접속하도록 하는 기능도 개발돼 사용하고 있다. 이 방식을 이용하면 훨씬 더 편리하게 망분리 환경에서 업무를 진행할 수 있다.

망분리와 스마트워크를 진행할 때에도 내외부 조직과 협업을 하게 돼 있는데, 이메일, 메신저, 파일공유시스템등을 이용한다. 내외부 직원과 커뮤니케이션 하고 자료 공유시 간편하게 사용할 수 있기 때문이지만, 보안위협이 상당히 높은 편이다. 사이버공격은 업무 관련 이메일이나 메신저 메시지를 통해 사용자를 속이고 있으며, 파일공유 시스템은 DI/PW와 접근권한 관리가 소홀하기 때문에 사용이 쉽지 않은 편이다. 협업 과정에서 문서에 대한 불법적인 유통을 막기 위해 공유스토리지에 업무 문서를 올리고, 권한 있는 사용자만 접근할 수 있도록 하고 있으나, 외부 협력업체에 부여하는 공용 ID/PW가 제대로 관리되지 않는다는 문제가 있다. ECM, DRM 솔루션에서는 공유 스토리지에 해당 문서가 있는 링크만을 보내 사용자가 PC에 다운로드 받지 못하고 공유 스토리지에 접속해서 업무를 진행하도록 하는 방법을 사용한다. 열람권한, 열람 기간/횟수 등을 제한해 불법적인 유출이 불가능하지만, 이 방법 역시 담당자가 철저하게 관리하지 못하면 보안에 홀이 생길 수 밖에 없다.

시스코는 강력한 보안 기능으로 보장된 협업 솔루션 스파크가 이러한 문제에 대한 해법이 될수 있다고 강조한다. 스파크는 회사 내외부 구성원이 장소, 기기 종류에 제한 없이 협업할 수 있도록 도와주는 솔루션으로, 룸제어, 기업 관리 효율, 캘린더(일정)과 룸 간의 연동 등 사용자 편의를 강화했다. 스파크는 엔드투엔드 콘텐츠 암호화 보안이 갖춰진 가상의 룸(Room), 즉 대화방에서 아이디어, 자료 등을 공유하고 실시간 협업할 수 있다. 시스코 스파크를 사용하는 사람이라면 누구나 프로젝트, 안건에 따라 자유롭게 룸을 생성할 수 있다. 초대된 팀원들은 룸에 접속해 실시간으로 안전하게 메시지 전송, 파일공유, 다자간 음성, 영상 통화 등을 할 수 있다.

토종 기업들도 협업 솔루션에 보안을 강화해 출시하면서 스마트워크 시장을 공략한다. 이스트소프트는 중소기업에서 협업 솔루션으로 많이 사용하던 다음의 마이피플 이 서비스를 종료하는 시점에 맞춰 자사의 협업 솔루션 팀업을 적극적으로 홍보하고 나섰다. 마이피플은 개인간 메신저로, 파일보내기, 나에게 보내기 등 기업에서도 사용할 수 있는 다양한 기능 때문에 소규모 기업에서 협업 도구로 많이 사용했다. 이스트소프트는 마이피플 사용자들에게 매력을 줄 수 있는 기능을 강조하면서 사용자를 끌어들이긴에 힘쓰고 있다. 

ECM 전문기업 사이버다임도 스마트워크 솔루션 데스티니 워크플레이스로 협업 시장에 진출했다. 데스티니 워크플레이스는 업무 플로우가 적용된 온라인 워크플레이스로, 완료된 업무는 그룹웨어에 올리거나 필요한 다음 프로세스를 거치도록 한다. 예를 들어 기업들이 현재 협업 도구로 많이 사용하는 포털 사이트의 폐쇄형  SNS는 기업의 업무를 올릴 수 없기 때문에 SNS와 업무가 별도로 진행돼야 한다. 데스티니 워크플레이스는 프로젝트별로, 혹은 업무별로 워크플레이스를 만들어 진행하며, 업무가 끝나면 자동으로 다음단계로 흘러가도록 한다. 데스티니 워크플레이스는 업무의 결과 뿐 아니라 과정까지 기록되고 보관되기 때문에 비슷한 작업이 반복되는 업무에 재사용될 수 있어 업무 효율성을 높이고, 시행착오를 줄일 수 있다. 모바일 오피스, 해외 지점/지사, 재택근무 등 아양한 근무형태에서 협업을 지원하며, 정형화되지 않은 업무, 프로젝트,  TFT 등에서도 유용하게 활용되고 있다.

망분리, 이제는 선택이 아닌 필수로 잡리잡아 가고 있다. 아직 소규모 기업에서는 구축비용과 유지비용을 감당하기에 버거워 실행되고 있지 않지만, 머지않아 필요성을 느낀 기업들이 하나둘 솔루션을 도입할 것으로 예상된다. 그만큼 사무환경의 보안은 점점도 중요해 지고 있고, 더 견고해 지고 있는 것이다.